SK shieldus Rookies 16기

[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(43일차)

Challenge programmers 2023. 12. 22. 16:57

오늘 학습 주제

1. HTTP 특징

 

 

 

 

HTTP 특징


- HTTP 특징 -

C:\Users\crpark> curl -v http://victim:8080/WebGoat
*   Trying 192.168.0.xxx:8080...			⇐ 연결
* Connected to victim (192.168.0.xxx) port 8080
> GET /WebGoat HTTP/1.1				⇐ 요청 시작 ⇒ 방식 URI 프로토콜/버전
> Host: victim:8080					⇐ 요청 헤더 시작
> User-Agent: curl/8.4.0
> Accept: */*
>							⇐ 요청 헤더의 끝 (GET 방식의 요청이므로 요청 본문이 생략)
< HTTP/1.1 302 Found					⇐ 응답 시작 ⇒ 프로토콜/버전 응답(상태)코드 메시지
< Server: Apache-Coyote/1.1				⇐ 응답 헤더 시작
< Location: /WebGoat/					⇐ 리다이렉션 주소
< Transfer-Encoding: chunked
< Date: Fri, 22 Dec 2023 00:35:21 GMT
<							⇐ 응답 헤더 끝 (리다이렉션이 일어나므로 응답 본문이 생략)
* Connection #0 to host victim left intact		⇐ 연결을 종료

요청 헤더: 알면 좋은 참조할 값

한 줄 단위로 해석

 

C:\Users\crpark> curl -v http://victim:8080/WebGoat/
*   Trying 192.168.0.xxx:8080...
* Connected to victim (192.168.0.xxx) port 8080
> GET /WebGoat/ HTTP/1.1
> Host: victim:8080
> User-Agent: curl/8.4.0
> Accept: */*
>
< HTTP/1.1 401 Unauthorized					⇐ 인증 정보가 누락되었음
< Server: Apache-Coyote/1.1
< Cache-Control: private
< Expires: Thu, 01 Jan 1970 00:00:00 GMT
< WWW-Authenticate: Basic realm="WebGoat Application"	⇐ 기본 인증 방식으로 인증 정보를 전달
< Content-Type: text/html;charset=utf-8
< Content-Language: ko
< Content-Length: 691
< Date: Fri, 22 Dec 2023 00:43:20 GMT
<
<!doctype html><html lang="ko"><head><title>HTTP 상태 401 – 인가 안됨</title>

 

 

- Stateless -

상태를 유지하지 않는 프로토콜

HTTP는 클라이언트와 서버 간의 각 요청이 독립적이며

이전 요청과의 상태 정보를 서버가 유지하지 않음

확장성을 높이고, 서버의 부하를 줄이기 위해 사용

동일한 클라이언트가 여러 요청을 보낼 때를 위해 쿠키, 세션 등을 사용

 

 

- 쿠키(Cookie) -

Stateless한 HTTP 프로토콜에서 상태를 유지하기 위해서 도입된 개념

서버가 클라이언트의 웹 브라우저에 저장하는 작은 데이터 조각

클라이언트와 서버 간의 상태를 유지하고 세션을 관리하며

사용자가 웹 사이트를 방문할 때마다 브라우저에서 서버로 전송

 

요청 헤더와 응답 헤더를 통해서 전달되고, 브라우저에 저장되며,

JavaScript를 이용해서 접근할 수 있으므로 쉽게 탈취 및 도용, 위변조가 가능하다는 단점

쿠키에 중요 정보를 저장, 사용하면 안 됨

 

 

- 안전한 Cookie 운영법 -

가급적 중요한 정보는 쿠키에 포함하지 말아야 하며

중요한 쿠키는 암호화해서 포함

쿠키의 유효기간(Expires) 또는 지속시간(MaxAge)을 최소한으로 설정

쿠키 생성 시 Secure 속성을 설정하여 보안 통신을 할 때만 쿠키를 전달하도록 제한

쿠키 생성 시 HttpOnly 속성을 설정하여 클라이언트에서 쿠키에 직접 접근을 제한

(개발자 도구 or JavaScript 등을 이용한 쿠키 접근)

HttpOnly 속성이 활성화되어 있기 때문에 브라우저(클라이언트)에서 쿠키를 직접 핸들링 불가

 

 

 

- 세션(Session) -

쿠키의 단점을 보완하기 위해서 나온 개념

사용자의 상태를 서버 측에서 유지하고, 사용자를 식별하는 데 사용

 

중요 정보를 서버의 세션에 저장하고, 사용자에게는 해당 세션에 접근할 수 있는 세션 ID를 발급

 

중요 정보에 대한 직접적인 유출을 막을 수 있으나, 중요 정보 접근에 사용되는 세션 ID 관리가 중요

 

세션 ID 탈취: 

세션 ID가 요청, 응답을 통해서 전달되는 과정(스니핑) 또는 사용자 PC, 브라우저에 저장된 것을

탈취, 조작(XSS)할 수 있을 때 발생

 

세션 ID 추측:

세션 ID의 생성 규칙을 유추할 수 있을 때 발생

공격자가 다음에 생성될 세션 ID를 미리 설정하고 

불특정 다수의 희생자에게 동일한 세션 ID가 발급되기를 대기

동일한 세션 ID를 발급받은 희생자가 생기면 공격자는 희생자의 권한으로 사이트를 이용

 

세션 ID 고정: 보안 상의 취약점 중 하나로,

공격자가 특정 사용자에게 고정된 세션 ID를 부여하여 해당 사용자의 세션을 제어하려는 시도

공격자는 희생자의 세션 ID를 미리 설정 후 희생자가 로그인 하기를 대기

희생자가 로그인을 하면 인증 전후에 세션 ID가 동일하므로 공격자도 로그인 한 것으로 처리

공격자는 희생자의 권한으로 사이트 이용 가능

 

 

- 안전한 세션 운영법 -

세션 ID의 생성 규칙을 외부에서 알 수 없도록 설정

인증 전 후의 세션 ID를 다르게 설정

주기적으로 세션 ID를 갱신

쿠키를 안전한 방법으로 생성, 관리

 

 

- 리다이렉트 -

클라이언트의 요청을 받아서 해당 요청을 다른 URL로 전송하는 과정

웹 어플리케이션이나 웹 서버에서 특정 조건을 충족할 때

클라이언트를 새로운 위치로 이동시키기 위해 사용되며

리다이렉트는 사용자를 새로운 페이지로 안내하거나,

오래된 URL을 새로운 URL로 대체하는 등의 목적으로 사용

 

curl -v http://victim:8080/WebGoat

URL 마지막 부분에 /를 입력하지 않아도 자동으로 입력

응답 코드에 302 Found가 있기 때문

302 Found: 요청한 리소스가 일시적으로 다른 위치에 있음을 알림

 

 

- 기본 인증 -

< WWW-Authenticate: Basic realm="WebGoat Application"

 

클라이언트가 서버에 대한 요청을 할 때마다 사용자 이름과 비밀번호를 인코딩하여 함께 전송하고

서버는 이를 확인하여 접근 권한을 부여하거나 거부

 

Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

Authorization 헤더를 사용하여 사용자 이름과 비밀번호를 전송

Basic으로 값이 시작되며 이름과 비밀번호를 Base64로 인코딩한 문자열이 전달됨

사용자 이름과 비밀번호를 평문으로 전송하기 때문에, 중간자 공격과 같은 보안 위협에 노출

 

 

- 인증 방법 -

Type1 - 지식기반(사용자만 알고 있는 정보를 이용해서 인증)

패스워드 등

 

Type2 - 소유기반(사용자만 가지고 있는 정보를 이용해서 인증)

OTP, 인증서, 주민등록증, 스마트폰 등

 

Type3 - 특징기반(사용자만 가지고 있는 특징을 이용해서 인증)

바이오 인증, 필기체 등

 

 

- 접근 통제 -

화면 - 권한 있는 사용자에게만 기능 버튼, 메뉴, 링크를 제공기능 - 권한 있는 사용자의 요청만 처리데이터 - 사용자 권한 범위의 데이터만 접근을 허용

 

 

 

 

 

취약점 정리


- 취약점 확인 방법 -

Injection ⇒ 기능에서 사용하는 특수문자를 입력해서 서버의 반응

 

SQL Injection ⇒ 홑따움, #, --, ; .... ⇒ 오류

 

Command Injection ⇒ &, |, ;, .... 추가 명령어 ⇒ 실행 확인

 

XSS ⇒ <script> alert('XSS'); </script> <img onerror="alert('xss')" />

 

CSRF ⇒ 중요기능에 절차와 주체를 확인하기 위한 입력이 있는지 확인

 

File Upload ⇒ 업로드 파일을 URL 주소를 이용해서 접근 가능한지 서버에서 실행 가능한 파일이 업로드 가능하니 확인

 

Path Traversal ⇒ 입력값이 내부 파일을 참조하는데 사용되는지 확인